<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Do I read it right that there is no workaround, but the solution is to upgrade to an updated version which include the fix?<br></blockquote><div><br></div><div>"Upgrade to fixed code" is the most common solution for every vendor. </div><div><br></div><div>To answer 'are they still vulnerable', IF someone is running one of the listed versions, AND they have flowspec enabled, there is exposure. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 3, 2021 at 5:32 AM Jean St-Laurent via NANOG <<a href="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-CA" style="overflow-wrap: break-word;"><div class="gmail-m_4880345137633828222WordSection1"><p class="MsoNormal"><span>Interesting,<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Do I read it right that there is no workaround, but the solution is to upgrade to an updated version which include the fix?<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>The solution is just above the workaround. From the same page posted.<u></u><u></u></span></p><p class="MsoNormal"><a href="https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11101&cat=SIRT_1&actp=LIST" target="_blank">https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11101&cat=SIRT_1&actp=LIST</a><span><u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:15pt;text-transform:uppercase">Solution:</span></b><u></u><u></u></p><p class="MsoNormal">The following software releases have been updated to resolve this specific issue:<u></u><u></u></p><p class="MsoNormal">Junos OS: 15.1R7-S8, 15.1X49-D240, 17.3R3-S10, 17.4R2-S12, 17.4R3-S4, 18.1R3-S12, 18.2R2-S8, 18.2R3-S6, 18.3R3-S4, 18.4R1-S8, 18.4R2-S6, 18.4R3-S6, 19.1R2-S2, 19.1R3-S3, 19.2R3-S1, 19.3R2-S5, 19.3R3-S1, 19.4R1-S3, 19.4R2-S3, 19.4R3, 20.1R2, 20.2R1-S3, 20.2R2, 20.3R1-S1, 20.3R2, 20.4R1, and all subsequent releases.<u></u><u></u></p><p class="MsoNormal">Junos OS Evolved: 20.3R1-S1-EVO, 20.3R2-EVO, 20.4R1-EVO, and all subsequent releases.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">It has a cvss score of 10.0 which is the highest. <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Is Juniper still vulnerable or not?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><table border="0" cellspacing="0" cellpadding="0" width="500" style="width:375pt"><tbody><tr><td style="padding:0cm"><table border="0" cellspacing="0" cellpadding="0"><tbody><tr><td width="100" valign="top" style="width:75pt;padding:0cm 6pt 0cm 0cm"><p class="MsoNormal"><img border="0" width="100" height="140" style="width: 1.0416in; height: 1.4583in;" id="gmail-m_4880345137633828222_x0000_i1025" src="https://www.engardesecurite.ca/wp-content/uploads/2018/11/main1-1-214x300.gif" alt="ddosTest me
                        Security inc"><u></u><u></u></p></td><td valign="top" style="padding:0cm 11.25pt 0cm 6pt"><table border="0" cellspacing="0" cellpadding="0"><tbody><tr><td style="padding:0cm"><p class="MsoNormal"><span style="font-size:12pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)">Jean St-Laurent <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:12pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)">CISSP #634103<u></u><u></u></span></p></td></tr><tr><td style="padding:3pt 0cm"><p class="MsoNormal"><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)">ddosTest me security inc<u></u><u></u></span></p></td></tr><tr><td style="padding:0cm"><p class="MsoNormal"><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(145,174,109)">tel: </span><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)"> <a href="tel:+14388069800" target="_blank"><span style="color:rgb(0,0,1)">438 806-9800</span></a> <u></u><u></u></span></p></td></tr><tr><td style="padding:0cm"><p class="MsoNormal"><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(145,174,109)">site: </span><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)"> <a href="https://ddostest.me/" target="_blank"><span style="color:rgb(0,0,1)">https://ddostest.me</span></a> <u></u><u></u></span></p></td></tr><tr><td style="padding:0cm"><p class="MsoNormal"><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(145,174,109)">email: </span><span style="font-size:10pt;font-family:Verdana,sans-serif;color:rgb(0,0,1)"> <a href="mailto:jean@ddostest.me" target="_blank"><span style="color:rgb(0,0,1)">jean@ddostest.me</span></a> <u></u><u></u></span></p></td></tr></tbody></table></td></tr></tbody></table></td></tr></tbody></table><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><div><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> NANOG <nanog-bounces+jean=<a href="mailto:ddostest.me@nanog.org" target="_blank">ddostest.me@nanog.org</a>> <b>On Behalf Of </b>Hank Nussbacher<br><b>Sent:</b> February 3, 2021 12:41 AM<br><b>To:</b> <a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a><br><b>Subject:</b> Re: RTBH and Flowspec Measurements - Stop guessing when the attack will over<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">You forgot to mention software bugs:<u></u><u></u></p><p class="MsoNormal"><a href="https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11101&cat=SIRT_1&actp=LIST" target="_blank">https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11101&cat=SIRT_1&actp=LIST</a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Note what Juniper states:<u></u><u></u></p><p class="MsoNormal"><i>Workaround:<br>There are no viable workarounds for this issue</i><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">-Hank<u></u><u></u></p><p class="MsoNormal" dir="RTL" style="text-align:right;direction:rtl;unicode-bidi:embed"><span dir="LTR"><u></u> <u></u></span></p><blockquote style="margin-top:5pt;margin-bottom:5pt"><div><div><p class="MsoNormal"><br><br>But, this still does not helps to find a solution do an organization A that sends some flowspec our RTBH to organization B(presuming organization B will accept that),  and organization B do some reports of what is match with that flowspec or RTBH.<br><br>That, in my opinion, is the only way to stop guessing how long will an attack will last, and start to define the end of a flowspec/RTBH action based on real information related to that.<br>I want to close the feedback loop.<span lang="AR-SA" dir="RTL"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:12pt;font-family:"Courier New""><u></u> <u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Em ter., 2 de fev. de 2021 às 13:07, Tom Beecher <a href="mailto:beecher@beecher.cc" target="_blank"><beecher@beecher.cc></a> escreveu:<u></u><u></u></p></div><blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0cm 0cm 0cm 6pt;margin-left:4.8pt;margin-right:0cm"><div><p class="MsoNormal">Personally, I would absolutely, positively, never ever under any circumstances provide access to a 3rd party company to push a FlowSpec rule or trigger RTBH on my networks. No way.  You would be handing over a nuclear trigger and saying "Please break me at my earliest inconvenience." <u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Tue, Feb 2, 2021 at 5:56 AM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p></div><blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0cm 0cm 0cm 6pt;margin-left:4.8pt;margin-right:0cm"><div><div><p class="MsoNormal" style="margin-bottom:12pt">OK, but do you know any company the sells de Flowspec as a service, in the way that the Attack Identifications are not made by their equipment, just receiving de BGP-FlowSpec and applying that rules on that equipments... And even then give back to the customer some way to access those statistics?<br><br>I just know one or two that do that, and(sadly) they do it on fancy web reports or PDFs.<br>Without any chance of using that as structured data do feedback the anomaly detection tools to determine if already it is the time to remove that Flowsperc rule.<br><br>What I'm looking for is something like:<br>A) XML/JSON/CSV files streamed to my equipment from the Flowspec Upstream Equipments saying "Heepend that, that, and that." Almost in real time.<br>B) NetFlow/IPFIX/SFlow streamed to my equipment from the Upstream Equipment, restricted to the DST-Address that matches to the IP blocks that were involved to the Flowspec or RTBH that I Annouced to then.<br>C) Any other idea that does the job of gives me the visibility of what is happening with FlowSpec-rules, or RTBH on theyr network.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Em seg., 1 de fev. de 2021 às 22:07, Dobbins, Roland <<a href="mailto:Roland.Dobbins@netscout.com" target="_blank">Roland.Dobbins@netscout.com</a>> escreveu:<u></u><u></u></p></div><blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0cm 0cm 0cm 6pt;margin-left:4.8pt;margin-right:0cm"><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><br><br><u></u><u></u></p><blockquote style="margin-top:5pt;margin-bottom:5pt"><p class="MsoNormal">On Feb 2, 2021, at 00:34, Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com" target="_blank">fischerdouglas@gmail.com</a>> wrote:<u></u><u></u></p></blockquote></div><blockquote style="margin-top:5pt;margin-bottom:5pt"><div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">Or even know if already there is a solution to that and I'm trying to invent the wheel.<u></u><u></u></p></div></div></div></blockquote><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Many flow telemetry export implementations on routers/layer3 switches report both passed & dropped traffic on a continuous basis for DDoS detection/classification/traceback. <u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">It's also possible to combine the detection/classification/traceback & flowspec trigger functions. <u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">[Full disclosure: I work for a vendor of such systems.]<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal" style="font-stretch:normal"><span style="font-size:17.5pt;color:rgb(69,69,69)">--------------------------------------------</span><span style="font-size:13pt;color:rgb(69,69,69)"><u></u><u></u></span></p><p class="MsoNormal" style="font-stretch:normal"><span style="font-size:17.5pt;color:rgb(69,69,69)">Roland Dobbins <<a href="mailto:roland.dobbins@netscout.com" target="_blank">roland.dobbins@netscout.com</a>></span><span style="font-size:13pt;color:rgb(69,69,69)"><u></u><u></u></span></p></div></div></blockquote></div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">-- <u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:10pt;font-family:"courier new ,monospace",serif">Douglas Fernando Fischer<br>Engº de Controle e Automação</span><u></u><u></u></p></div></blockquote></div></blockquote></div><p class="MsoNormal"><br clear="all"><u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><p class="MsoNormal">-- <u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:10pt;font-family:"Courier New"">Douglas Fernando Fischer</span><span style="font-size:10pt;font-family:"courier new ,monospace",serif"><br></span><span style="font-size:10pt;font-family:"Courier New"">Engº de Controle e Automação</span><u></u><u></u></p></div></blockquote><p class="MsoNormal"><u></u> <u></u></p></div></div></blockquote></div>